基于區塊鏈技術的一站式服務平臺研究

王曉敏

關鍵詞：區塊鏈；FISCO BCOS數據存儲系統；分布式KPI體系；同態加密系統Paillier

中圖分類號：TP311 文獻標識碼：B

文章編號：1009-3044（2023）12-0083-03

隨著數字化時代的到來，構建數字孿生世界已經成為社會發展的必然趨勢，高校信息化建設緊跟社會發展步入智慧校園3.0時代，打造智慧校園的基礎服務體系成為各大高校發展必然趨勢。以淮陰師范學院網站為典型例，多年來該學校組織建設完成了大量的業務系統，但是還有很多部門系統業務間關聯的基礎數據都沒有真正被進行充分利用或挖掘，且有些部門單位間由于信息交叉流通利用不完全充分，業務數據已多年都被分散封存在學校各個內部業務系統網絡中，需要定期進行內部統一業務數據清洗、管理。更需要一個一站式服務平臺的統一管理和展示。本文通過對目前一站式服務平臺的研究，發現數據存儲問題，并結合區塊鏈技術，提出構建基于區塊鏈技術的一站式服務平臺。

1 目前一站式服務平臺架構及問題

1.1 目前一站式服務平臺架構

一站式服務平臺能夠一次性解決了上述信息化建設中出現的問題，目前絕大多數高校的一站式服務平臺框架（圖1） ，擁有一個校級數據中心，通過制定完善的數據標準體制，在服務平臺內置完整的數據標準管理工具和基于數據標準的業務建模工具。數據標準是由“數據集定義”和“代碼集定義”兩部分共同構成規范，是用于約束組織進行信息化建設時必須遵循的基礎信息定義。通過定期從校級數據中心同步數據標準，并通過將業務構建過程與數據標準深度融合來保證服務平臺生產的數據嚴格遵守數據標準。

1.2 一站式服務平臺存在問題

在一站式服務平臺建設過程中，采用統一數據中心方便管理的同時卻增加了數據遭受攻擊損壞或丟失的風險；平臺的標準接口便于數據傳輸轉換，然而在充分實現數據的相互交換、共享數據與整合服務的同時，數據的安全性沒有保證，且頻繁訪問給數據中心帶來過載壓力，進而導致數據損壞或是丟失。用區塊鏈作為一種新型的分布式數據庫系統來替代一個中心化服務器問題。區塊鏈基礎上建立的數字記錄，不可人為篡改、不可人工偽造，智能合約系統等能讓所有業務參與者更高效順暢地協同工作起來，從而共同建立起可信安全的社會數字經濟秩序，提高交易數據的流轉及效率，打破交易數據孤島，打造一個全新的數字存儲服務模式，保證數據的安全。根據區塊鏈的特性，結合目前一站式服務平臺，提出基于區塊鏈的一站式服務平臺的設想，利用區塊鏈的特性完善一站式服務平臺內數據存儲安全和數據共享問題。

2 相關技術

2.1 數據存儲安全

一站式服務平臺內包含了學校各個業務系統龐大的各類數據，本平臺采用基于區塊鏈的存儲方式，區塊鏈不可篡改性是以數據冗余為代價的，高度冗余給內存造成巨大負擔，嚴重影響區塊鏈數據的安全。因此我們設計基于區塊鏈的一站式服務平臺時，為了消除區塊鏈內存負載過大的問題，采用了鏈上鏈下綜合存儲的方式，只在鏈上節點中存儲實時上傳數據的哈希值。采用智能合約和分布式哈希表（distributionhash table，DHT） 相結合的方式創建數據索引[1]。

典型的FISCO BCOS數據存儲系統[2]采用了分布式存儲架構，分為狀態層、分布式存儲層和驅動層，如圖2所示，狀態層調用存儲訪問接口；存儲層適配不同的表結構的多種存儲系統，存儲區塊鏈核心的各種類型數據；驅動層完成數據庫的各類訪問邏輯。FISCOBCOS利用RocksDB解決了LevelDB內存占用高和文件描述符超限導致節點故障的缺陷，還可以通過NoSQL、SQL等數據管理方式對一站式服務平臺的不同業務場景選擇適合的數據庫存儲數據。

2.2 數據訪問安全

由于一站式服務平臺數據應用涉及學校廣大師生群體的工作學習生活息息相關的方方面面，因此對數據資源訪問及安全管控至關重要，要保證每個用戶訪問數據的合法性和隱私性，就要對用戶身份權限進行控制和授權。一般采用身份認證和權限訪問控制技術。

身份認證技術是用來鑒別用戶在網絡和操作系統中身份的技術，一般采用數字證書技術，而區塊鏈不用依靠集中式的CA機構，就可以實現分布式PKI（public key infrastructure） 系統。本文采用基于區塊鏈的分布式PKI體系，這個體系第一次是由Fromknecht等人[3-4]提出，實現分布式PKI的方式將鑒別用戶的數字證書存放在區塊鏈中，在網絡中公開與之相關身份和證書公鑰。但是此模式會泄露用戶身份隱私，不適用于一站式服務平臺的移動網絡情形，為此，我們根據Axon等人[5-9]提出的隱私感知框架PB-PKI。把密鑰存儲在鏈下，通過鄰近可信節點，利用鏈下存儲的密鑰實現對身份隱私的保護。這種通過鏈下存儲加強了對鏈上密鑰的加密保護，從而有效地避免了區塊鏈網絡中的公鑰和用戶身份的綁定。

權限訪問控制技術是一種保護系統安全和用戶隱私的另一項重要技術，通過授權方式，達到保護用戶隱私的目的，不同的用戶只能訪問自己權限內的資源，沒有授權的情況下，一個用戶無法查看其他任何用戶的資源信息?；诒疚囊徽臼椒掌脚_采用鏈上鏈下協同的數據存儲方式，因此訪問控制技術也采用鏈上鏈下協同的數據訪問控制技術。我們將被訪問者的信息資源存儲在鏈下，訪問者只有獲得授權令牌才能實現訪問，為了保證令牌的真實可靠性，令牌是由被訪問者利用訪問者的鏈上公鑰進行簽名。此類訪問控制技術有利于透明化細粒度的權限訪問管理。

2.3 數據查詢安全

為了提高數據查詢效率，與鏈下數據庫結合是基于區塊鏈技術的一站式服務平臺的主要的查詢方法。利用MySQL數據庫多樣有效的查詢功能，我們將鏈上數據實時同步到鏈下的MySQL數據庫中進行有效查詢。為了防止鏈下MySQL數據庫中的數據被人為惡意篡改，我們利用加密算法設計了驗證機制。當鏈上實時數據同步到鏈下時，引用哈希鏈處理存儲數據，查詢訪問時需要先對數據進行驗證，從而保證了鏈下數據的安全性，保證數據查詢快速可靠。

2.4 數據共享安全

數據管理一個重要的需求就是對數據進行共享利用。一站式服務平臺內各個業務部門數據繁復蕪雜，出入管理系統，校園一卡通系統等各類系統，每日都能產生大量數據信息，如何在共享過程中保持數據的完整性，防止數據泄露也是本平臺設計的難點。利用區塊鏈的安全特性，建立數據共享系統。根據Zheng等人[10]提出基于區塊鏈的可擴展且保護隱私的數據共享模型，為了保護敏感信息，可以把同態加密系統Paillier應用到鏈上，利用（p，k） 閾值Paillier加密機制在共享數據時保護交易信息，實現各個節點數據的共享計算。為了各個節點共享數據的傳輸的隱蔽性，根據司成祥的動態標簽數據隱蔽傳輸方案，可以將含有標簽的信息，利用哈希函數生成動態標簽地址，發送方打包發送帶有動態標簽地址的隱私數據，接收方通過獲取和識別動態標簽地址，從而解析出隱私數據。

3 基于區塊鏈的一站式服務平臺設計框架

通過對區塊鏈相關技術的學習，結合一站式服務平臺的功能，采用基于FISCO BCOS數據存儲的鏈上鏈下協同存儲數據系統，利用分布式哈希表（distribution hash table，DHT） 和智能合約建立數據索引。多重簽名技術可以靈活分配數據訪問權限，是一站式服務平臺數據存儲的絕佳選擇?；趨^塊鏈的分布式PKI體系，實現不篡改的身份認證功能，校史檔案，師生個人信息，結合物聯網技術存放設備信息等隱秘性數據，有效避免了電子數據的易篡改性；而且區塊鏈數據帶有時間戳，可用于教務系統的學歷證明、財務系統的票據憑證以及審計部門的審計工作；區塊鏈的隱私保護方法形成了信息化時代個人隱私的一個保障；智能合約可編程性使得一站式服務可以增加任意復雜的流程。

通過對區塊鏈特性的分析，創新性將區塊鏈與一站式服務平臺結合起來，并設計出框架。

如圖3所示，學校各業務部門部署本地化的區塊鏈節點，快速實現區塊鏈分布賬本和業務系統數據的同步，為一站式服務平臺提供實時數據信息。上鏈同步的數據僅為數據哈希，并不涉及完整原始數據，占用數據帶寬小，且業務部門不需要全量向中心化數據交換系統進行冗復制。驗證所需要的數據哈希在所有業務發生時即完成了同步，從而能提高了驗證效率，簡化工作流程。

基于區塊鏈的一站式服務平臺，無論在技術上還是實踐上都具有可行性，解決了一站式服務平臺的數據問題，為校園治理決策提供了真實有效的數據基礎，有利于高校未來信息化的發展。

4 結束語

本文作者提出的一種基于區塊鏈技術實現的數據安全一站式安全服務平臺的設計，解決了單一中心化數據中心的弊端，借助了區塊鏈技術的強大特性，數據存儲安全、數據訪問安全、數據共享安全和數據查詢安全幾個方面，針對高校一站式服務平臺的應用場景做出具體的設計，保證了一站式服務平臺的數據安全性。

對于本系統而言，仍然存在很多技術難點有待突破。通過對區塊鏈技術的深入研究，隨著區塊鏈在各行各業的廣泛應用和國內外學者對于區塊鏈的研究，雖然基于區塊鏈進行數據管理的優勢日益突出，但是在保證數據真實性和匿名性等方面仍需要努力。